CISO's strijden om de status van C-Suite, terwijl de verwachtingen de pan uit rijzen

CISO's worden steeds vaker gevraagd om de verantwoordelijkheden op zich te nemen van wat normaal gesproken als een C-suite-rol zou worden beschouwd, maar zonder dat ze bij veel organisaties als zodanig worden beschouwd of behandeld, zo blijkt uit een nieuw onderzoek onder 663 beveiligingsmanagers.

Het onderzoek werd uitgevoerd door IANS in samenwerking met Artico Search en ondervroeg CISO's over een verscheidenheid aan kwesties die verband hielden met hun baan, hun verantwoordelijkheden, managementondersteuning en andere onderwerpen.

Maar liefst 75% van hen zei op zoek te zijn naar een verandering van baan.

De verwachtingen voor de rol van CISO zijn veranderd

Uit de reacties bleek dat de verwachtingen ten aanzien van de rol van CISO dramatisch zijn veranderd bij organisaties in de publieke en private sector, onder meer vanwege het toegenomen toezicht van toezichthouders en de groeiende vraag naar verantwoordelijkheid voor inbreuken op de beveiliging.

Als voorbeeld, de onderzoeksrapport wees op regels zoals die van de Securities and Exchange Commission (SEC) van afgelopen juli, die beursgenoteerde bedrijven verplichten om alle materiële veiligheidsincidenten binnen vier dagen na het incident te melden. Een ander voorbeeld zijn de uitgiften van het New York State Department of Financial Services (NYDFS). nieuwe eisen op het gebied van cyberbeveiliging voor financiële dienstverleners.

“Regelgevers houden CISO’s nu verantwoordelijk voor transparantie en zelfs fraude namens hun organisaties”, aldus het rapport van IANS en Artico. Er wordt steeds meer verwacht dat de CISO in de eerste plaats zal dienen als een functie voor bedrijfsrisicobeheer, met een duidelijke stem op leidinggevende leiderschapsvergaderingen en een directe communicatielijn met de CEO en de C-suite. Maar ondanks dat de rolverwachtingen naar C-niveau worden verheven, hebben CISO’s moeite om als zodanig te worden gezien, en de CISO-rol maakt vaak geen deel uit van het senior leiderschapsteam.

Uit het onderzoek blijkt bijvoorbeeld dat, hoewel ruim 63% van de CISO's een functie op vice-president- of directeursniveau heeft, slechts 20% op het niveau van de C-suite zit, ondanks dat ze 'chef' in hun titel hebben. In het geval van organisaties met een omzet van meer dan $1 miljard is dat aantal zelfs nog kleiner: 15%. Vanuit rapportageoogpunt is een verontrustende 90% van de CISO's op minstens twee of meer organisatieniveaus verwijderd van de CEO en de C-suite. Slechts 50% heeft elk kwartaal contact met het bestuur van hun bedrijf. Een kwart heeft slechts een of twee keer per jaar contact met het bestuur, 12% ontmoet het bestuur louter ad hoc en 13% geeft aan helemaal geen contact met het bestuur te hebben.

Een gebrek aan richtlijnen voor de verantwoordelijkheid van de CISO

In veel gevallen krijgen CISO's die duidelijke risicorichtlijnen van hun bestuur willen, die niet. Amper meer dan een derde (36%) geeft aan dat hun bestuur hen voldoende inzicht biedt in de risicotolerantieniveaus van hun organisatie, zodat zij actie kunnen ondernemen.

“De evolutie van de rol van CISO is de afgelopen jaren dramatisch versneld”, zegt Nick Kakolowski, onderzoeksdirecteur bij IANS. Nu organisaties steeds meer van hun activiteiten digitaliseren, nemen CISO's meer verantwoordelijkheden op zich en zijn ze de facto eigenaar van digitale risico's geworden, zegt hij. “[Maar] organisaties zijn er nog niet achter hoe ze hen kunnen ondersteunen en versterken naarmate de reikwijdte van de rol groeit.”

Binnen de CISO-gemeenschap zijn de afgelopen jaren de zorgen toegenomen over de escalerende verwachtingen rond de functie, ook al is hun vermogen om aan die verwachtingen te voldoen grotendeels onveranderd gebleven. Incidenten zoals vorig jaar oktober waarbij de SEC SolarWinds CISO Tim Brown aanklaagde fraude en falende interne controles over de inbreuk in 2020 bij het bedrijf, en waar een rechter veroordeelde voormalig Uber-CISO Joe Sullivan tot drie jaar proeftijd vanwege een overtreding uit 2016, hebben deze zorgen aangewakkerd. Hoewel er enige discussie bestaat over de vraag of de acties tegen de veiligheidsfunctionarissen bij deze incidenten gerechtvaardigd waren, hebben velen betoogd dat het oneerlijk is om alleen hen verantwoordelijk te houden voor de inbreuken.

Historische vooroordelen tegen beveiliging als functie op C-niveau

Een van de redenen waarom veel organisaties de rol van CISO’s nog steeds niet zien als onderdeel van de C-suite, is historische vooringenomenheid, zegt Kakolowski. “CISO’s worden – vaak ten onrechte – gezien als techneuten die de taal van het bedrijf niet spreken”, zegt hij, eraan toevoegend dat ze vaak de neiging hebben om in de silo te blijven als het gaat om de ontwikkeling van vaardigheden. De inspanningen daar hebben vaak de neiging zich te concentreren op technische capaciteiten en teamleiderschap, in plaats van op de ontwikkeling van uitvoerende vaardigheden.

Een deel ervan is ook traagheid. Grote, complexe organisaties hebben tijd nodig om zich aan te passen aan nieuwe uitdagingen en organisatorische verschuivingen.

“De grootste uitdaging is de strijd om afstemming te vinden tussen de CISO’s en de rest van de C-suite”, zegt Kakolowski. “Bedrijfsleiders beginnen zich bewust te worden van het risico van het onderbenutten van CISO’s als bedrijfsleiders, en er is een kans voor CISO’s om aan te tonen dat ze waarde kunnen bieden aan de organisatie buiten de backoffice.”

Het kan volgens Kakolowski veel voordelen hebben om de rol van de CISO te verhogen naar waar deze thuishoort: in de C-suite. Door deel uit te maken van het topmanagement krijgt de CISO een beter bewustzijn en inzicht in waar de organisatie naartoe gaat, en wordt het voor hen gemakkelijker om met andere belanghebbenden samen te werken op het gebied van digitaal risicobeheer.

“Het positioneert de CISO om risico’s voor te zijn, waardoor de wrijving die kan ontstaan ​​bij het beperken van risico’s wordt verminderd”, merkt hij op.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket